Lange Zeit hat man von Locky nicht mehr viel gehört, während über andere Vertreter der Krypto-Trojaner zahlreich berichtet wurde. Doch Locky ist nach wie vor aktiv und hat dazu gelernt. Wohl weniger gravierend ist die Tatsache, dass Locky nun die Dateiendung “.odin” statt “.locky” für die verschlüsselten Dateien verwendet. Gravierender ist die Neuerung, dass für die erfolgreiche Arbeit nun keine Online-Verbindung zum C&C Server der hinter Locky stehenden Erpresser mehr notwendig. Bisher konnte Locky ohne diese Verbindung nicht mit seinem Werk beginnen. Nun benötigen neuere Varianten die Server nicht mehr als Anstoß zur Erzeugung des lokalen Schlüssels. Die genaue Technik ist noch nicht bekannt.
Die Vorteile liegen klar auf der Hand: Die kostenintensive Infrastruktur zum Betrieb der C&C Server entfällt. Lösegeldzahlungen werden nach wie vor über Links in Tor-Netz abgewickelt. Aber auch den Ermittlern fehlen somit wertvolle Anhaltspunkte, um die Drahtzieher möglicherweise dingfest zu machen.
Im Vergleich zu anderen Krypto-Trojanern steht für Locky nach wie vor kein Entschlüsselungstool zur Verfügung. Hier hilft nur zahlen, oder ein funktionsfähiges Backup für ein Recovery zur Verfügung zu haben. Übrigens: Wie lange liegen Ihre letzte Überprüfung der Backup-Strategie oder ein vollwertiger Recovery-Test zurück?
http://heise.de/-3354925